faculdade de tecnologia de ourinhos – fatec segurança da informação auditoria sistemas em...
TRANSCRIPT
FACULDADE DE TECNOLOGIA DE OURINHOS – FATECSegurança da Informação
Auditoria Sistemas em Informação
AULA – 7Auditoria em Sistemas em Desenvolvimento
Professor: Alex Marino Gonçalves de Almeida
Implantação de Controle e Controle de auditoria para sistemas durante
o desenvolvimento
Implantação de Controle e Controle de auditoria para sistemas durante o desenvolvimento
1. Aspectos gerais2. Padrões de controle e segurança a serem observadas
na especificação do sistemaTrilhas de auditoria Totais de controle de arquivos e ou banco de dadosRelatórios de gestão
Aspectos gerais ‘VANTAGEM’
A proposta de participação da auditoria no desenvolvimento de sistemas tem a seguinte justificativa: (‘VANTAGEM’)
• É tarde demais auditar um sistema já implantado e operacional com objetivo de recomendar o aperfeiçoamento de controles internos.
“Garantia de receita” = Auditoria interna
Aspectos gerais ‘VANTAGEM’
Conforme a natureza da recomendação da auditoria, pode implicar no redesenho do sistema, o que por si só seria um grande impeditivo no cumprimento das recomendações propostas.
Esta abordagem tem sido uma das maneiras de se minimizar problemas e erros, tanto intencionais ou não, bem como tentativas de operações não autorizadas no sistema.
Aspectos gerais ‘VANTAGEM’
A participação da auditoria na fase de desenvolvimento de sistemas de informação, os auditores deverão participar do processo de definição das especificações do sistema em desenvolvimento, ou seja os auditores deverão ser figuras presentes e atuantes durante todo ciclo de vida de desenvolvimento de sistemas.
Lugar onde a participação do auditor é maior: • Levantamento de requisitos e • Desenhos do SI (cenários de teste nos casos de uso) que tratam dos
pontos de controle (tratamento de exceções, no Java é o try... catch)
Aspectos gerais
Para facilitar a avaliação do sistema durante o desenvolvimento, apresentaremos um conjunto de padrões de controles e segurança que deverão ser observados na especificação dos sistemas de informação, assim como a auditoria de pré-implantação do sistema de informação em questão.
Padrões de controle
Para facilitar o processo de revisão e acompanhamento da implantação de controles, os itens de controle e segurança serão apresentados em 3 grupos :
• Trilhas de auditoria• Totais de controle• Relatórios gerenciais
Trilhas de auditoria
As trilhas de auditoria são rotinas de controle que permitem recuperar de forma inversa as informações processadas, através da reconstituição da composição das mesmas, devidamente demonstradas, tanto de forma sintética quanto analítica, se forem necessárias. Por exemplo:
Trilhas de auditoria
• Totais de controle apresentados a cada processamento de módulo de sistema que possibilita acompanhar a produção física de processamento de dados;
• Relatórios analíticos sintéticos físico-financeiros provenientes de processamento das informações do sistema;
• Contabilização com código do usuário, data e hora das atualizações realizadas no respectivo registro do cadastro mestre;
Totais de controle de arquivosBI x Data Warehouse x OLTP =
Os registros de totais de controle em arquivos sequenciais (BD) são denominados de header para primeiro e trailer para o último registro de controle. No caso de um arquivo indexado ou de banco de dados é constituído header ou registro totalizador.
Eles tem por objetivo preservar o arquivo magnético contra eventuais violações de dados e/ou inclusão ou exclusão indevida de registros extra-sistema, que podem ser detectados durante o processamento do sistema em condições normais.
Totais de controle de arquivos
Estes totais podem ser:• Quantidades de registros existentes num arquivo
magnético• Valores totais• Hash-total dos campos numéricos
É preciso ter garantia do que se está processando, então deve-se fazer um hash no início e outro no fim do processamento.
Valor N°1000,00 12000,00 23000,00
Oracle 2010 / Page 14
ContratoTotal
RegistrosTotal Valor
2 3000,00
Header
Totais de controle de arquivos
Totais de controle de arquivos
• Os dados Inconsistentes que forem aceitos no cadastro devem ser identificados por algum tipo de marca e sempre monitorados por algum tipo de registro de controle.
• No acerto e atualização dos dados do arquivo magnético ou banco de dados, devem ser analisadas as informações que poderão ou não influenciar a posição contábil-financeira dos outros sistemas. No primeiro caso, deverão ser criados dados históricos de atualização enquanto nos demais casos poderão ser efetuadas atualizações diretas, ou criada a possibilidade de recuperar informações de n versões anteriores.
Totais de controle de arquivos
• Qualquer que seja o formato o arquivo magnético, bem como banco de dados, este deverá ser acompanhado de um registro chamado header para fins de detecção de alguma violação que possa ter ocorrido na base de dados. No caso do arquivo sequencial, deve estar acompanhado do registro trailer no final do arquivo
Totais de controle de arquivos
Estes registros deverão conter os seguintes dados:• Identificação do arquivo magnético ou banco de dados• Data de geração• Numero de versão• Data de atualização• Quantidade de registros existentes• Somatória dos campos numéricos• Total de valores que compõe o arquivo magnético
Relatórios de gestão
Estes relatórios devem permitir a identificação das ocorrências de anomalias ou irregularidades de processamento do sistema de informação, apurar índices ou indicadores de qualidade das informações constantes em arquivos magnéticos e auxiliar no estabelecimento de critérios de seleção de informações para avaliação.
Como por exemplo:
Relatórios de gestão
• Relatório de curva ABC com frequência de movimentação e ou de composição de registros de um determinado arquivo magnético
• Relatórios ou telas com indicadores de movimentação física ou financeira de cadastros mestres
• Índices de ocorrências de inconsistências de arquivos e registros pendentes
Oracle 2010 / Page 20
BANCO DE DADOS
Indicadores de Qualidade- Quantidade de registros - n- Registros inconsistentes – x%- Registros de exceção – y%
Curva ABC-Faixa A – R$999 mil-Faixa B – R$99 mil-Faixa C – R$9 mil
Relatórios de gestão1. Deve ser desenvolvido algum tipo de relatório que possa monitorar
as inconsistências de dados existentes em arquivos magnéticos ou banco de dados
2. Devem ser incluídos em alguns relatórios operacionais os de controle indicadores de qualidade das informações processadas para fins de gerenciamento das mesmas.
3. Deve-se considerar a possibilidade de inclusão de algum relatório de curva ABC que possibilite identificar freqüência de determinados tipos de ocorrências, para que sirva de base para determinar critérios de seleção de registros em arquivos magnéticos ou banco de dados.
ConclusãoPortanto, a função de auditoria durante o desenvolvimento
de sistemas é promover a adequação, avaliação e apresentação de recomendações para o aprimoramento de controle interno nos sistemas de informação da empresa, assim como na utilização dos recursos humanos, materiais financeiros e tecnológicos envolvidos no processo de construção de sistemas de informação. O trabalho realizado dentro deste escopo faz com que a auditoria tenha uma característica preventiva de ocorrência de operações e procedimentos indevidos durante a operação normal do sistema de informação.
FIM